Το OWASP ASST είναι ένα ανοιχτού κώδικα εργαλείο, που σαρώνει τις web εφαρμογές.
Εισαγωγή
Οι διαδικτυακές εφαρμογές έχουν γίνει αναπόσπαστο μέρος της ζωής μας, αλλά πολλές από αυτές τις εφαρμογές αναπτύσσονται με κρίσιμα τρωτά σημεία που μπορούν να αξιοποιηθούν από κακόβουλους χρήστες.
Καθώς η τεχνολογία που χρησιμοποιείται για την ανάπτυξη αυτών των εφαρμογών εξελίσσεται, το ίδιο ακριβώς κάνουν και οι τεχνικές των hacker.
Οι επιτιθέμενοι δεν χρειάζονται πλέον φυσική πρόσβαση στα θύματά τους, καθώς μπορούν να επιτεθούν σε περισσότερους από έναν στόχο ταυτόχρονα και η πιθανότητα σύλληψής τους από τις αρχές είναι πάρα πολύ μικρή.
Οι αυτοματοποιημένοι σαρωτές ευπαθειών στο δίκτυο χρησιμοποιούνται σε μεγάλο βαθμό για την αξιολόγηση της ασφάλειας των web εφαρμογών. Ο νέος αυτοματοποιημένος σαρωτής ευπαθειών που ονομάζεται Automated Software Security Toolkit (ASST), σαρώνει τον πηγαίο κώδικα ενός διαδικτυακού project και δημιουργεί μια αναφορά των αποτελεσμάτων με μια λεπτομερή εξήγηση για κάθε πιθανή ευπάθεια και πώς να την διορθώσετε.
Έχουμε δοκιμάσει την απόδοση του ASST και συγκρίναμε τα αποτελέσματά του με άλλους μεγάλους σαρωτές ευπαθειών ανοιχτού κώδικα. Τα αποτελέσματά μας δείχνουν ότι το ASST μπορεί να εντοπίσει πιο πολλά και πιο ακριβή τρωτά σημεία ασφάλειας web λογισμικού.
Τι είναι το ASST;
Το ASST είναι ένα Open Source, Source Scanning Tool, είναι μια εφαρμογή CLI (Command Line Interface), που αναπτύχθηκε με JavaScript (Node.js framework).
Επί του παρόντος επικεντρώνεται στις γλώσσες προγραμματισμού PHP και MySQL, αλλά δεδομένου ότι οι βασικές λειτουργίες του είναι έτοιμες και διαθέσιμες για όλους, οι προγραμματιστές μπορούν να συνεισφέρουν και να προσθέσουν πρόσθετα ή επεκτάσεις, για να προσθέσουν λειτουργίες και να κάνουν σάρωση σε άλλες γλώσσες προγραμματισμού όπως Java, C#, Python , κ.λπ … Έτσι, η υποδομή της έχει σχεδιαστεί για να δέχεται συνεισφορές από άλλους προγραμματιστές.
ASST διδάσκει στους προγραμματιστές πώς να ασφαλίσουν τα project τους
Όταν το ASST σαρώνει ένα project, ελέγχει κάθε γραμμή κώδικα για ευπάθειες ασφαλείας. Εάν εντοπιστεί μια ευπάθεια, θα καταγράψει στην αναφορά σε ποια γραμμή και σε ποιο αρχείο εντοπίστηκε μαζί με ένα σύνδεσμο “Κάντε κλικ εδώ” για να δείτε επεξηγήσεις και πώς να την διορθώσετε.
Τα αποτελέσματα του ASST εμφανίζονται σε μορφή HTML που συνδέεται με αρχεία PDF για να εξηγήσει κάθε επίθεση και τον τρόπο με τον οποίο μπορείτε να προστατευτείτε.
Πληροφορίες σχετικά με την εγκατάσταση και με τη χρήση του προγράμματος, θα βρείτε εδώ.